本文作者:
上海银行 马永祥等
中国银联 祖立军等
0.引言
中国银联与上海银行就金融云与SDN技术研究等达成合作,其中中国银联的电子商务与电子支付国家工程实验室与上海银行数据中心以下一代金融云数据中心为蓝图,组成联合研究团队开展基于SDN的下一代金融云网络架构技术研究。(上海市科委项目资助(17YF1425800): 金融行业云关键技术研究及应用)
联合研究团队认为:云网络架构是机构开展金融云基础平台建设最为核心关键的因素,其主要体现如下方面;
- 首先,双模IT中网络是唯一必须兼容两种IT模式的平滑互通的基础资源。为兼顾新技术、新架构、新模式于既有的传统信息技术体系结合,双模IT将是金融机构IT发展的主要形态,处于两种IT模式下的金融应用无必须共享服务器和存储的要求,但必须在网络层面实现互联互通。
- 其次,金融合规性与安全性在IT基础设施中主要体现在数据中心网络。金融机构多区域隔离、应用间的强访问控制以及外部防护攻击均主要基于网络规划与专用网络设备应用措施。
- 最后,以软件定义网络为代表的新技术应用是云平台发展的必然趋势。基于云计算、大数据与区块链等新技术的金融创新应用产生了新的数据网络交换模型,对应用所部署的数据中心网络环境提出了新的技术要求,软件定义网络技术效果与之契合,有助于推动金融IT向高效服务化的转型,从而提升金融机构的创新能力。
然而,由于网络技术变革难度高与应用影响性广等因素,当前在全球范围内金融机构云网络架构落地实践整体上还处于初级阶段,无标准化统一的架构实践参考。为此联合研究团队经过近两年多的努力,提出了在当前金融数据中心网络架构下,应用SDN的云网参考模型,并予以落地实践验证,其中主要完成工作包括:
- 金融云数据中心需求梳理与新架构网络设计原则规划。结合当前金融行业网络架构现状分析,梳理了未来金融数据中心网络高敏捷、高弹性、高可管理、高可用以及高性能的“五高”要求,归纳总结了未来金融数据中心网络架构“面向服务理念、管理统一编排、资源池标准化、成熟技术集成再造创新”的四大设计原则。
- 定义基于SDN的下一代金融机构网络的标准化参考架构。联合研究团队提出了“多数据中心间虚拟专网互联,数据中心内核心交换总线互通,传统分区、云网分区并存”的云网络架构模型,模型给出了网络管理平面与数据平面的标准实现架构,服务能力涵盖二/三层网络连通性能力以及负载均衡/防火墙L4-L7服务能力。
- 验证标准化参考架构的核心关键技术。研究团队已基于开源技术通过自主研发的区域互联(Region Interconnect)SDN控制器实现了对核心交换网络(国际首创)与各分区的SDN控制器的协调控制,从而实现数据中心内网络资源池化以及网络资源弹性调度服务。
上述云网架构模型的应用可实现新一代符合金融行业云要求的网络架构,其效果主要包括:
- 平滑兼容传统架构。可有效支持双模IT,可在保持传统网络架构稳定运行的前提下,支持SDN等新技术的前瞻性应用。
- 兼容异构网络技术。通过自主创新的区域互联(RI)SDN控制技术,实现对厂商设备异构解耦,屏蔽不同厂商在SDN技术实现中的技术差异性。
- 网络多租户能力扩展性强。网络租户能力不局限于单一网络设备区域,可有效扩展至异构设备区域以及跨数据中心区域。
- 安全合规等级不降低。新模型设计之初即基于现有网络安全与合规性的要求考虑,新技术的应用严格遵守现有金融规范。
在研究过程中,我们认识到金融云计算技术研究是技术集成创新与产业协同创新的复杂系统工程,金融云计算技术的自主可控需要良好的产业生态支持,因此也同步与国内外产业界保持密切沟通,探索相关技术在金融行业范围内以工作组的形式深化联合研究,在工作组内共享技术研究成果,共同以工作组的团体力量与国内外云计算组织展开合作,推动金融云技术的研究与进步,加速金融科技的变革,支撑金融服务的创新发展。
1.金融行业网络架构现状
金融行业网络建设历程与金融行业近三十年信息化过程密不可分,目前为止已经历多个阶段发展。
现阶段金融行业网络整体多以“两地三中心”架构为主。利用DWDM及高带宽专线构建高速转发“核心骨干网”用于数据中心间互联,数据中心作为骨干网接入节点。在核心骨干网框架上扩展延伸出“三级网”架构用于各级分支机构的汇聚,数据中心至一级分支机构间构建一级网,一级分支至二级分支机构间构建二级网,二级至三级分支机构间构建三级网。示意图如下:
数据中心内部采用“总线型、模块化”架构,遵循“垂直分层、水平分区”的原则,根据应用系统种类不同、重要性区别、安全防护需求差异将网络划分为多个区域,通过高性能交换机构建交换总线,网络各分区通过总线进行互联互通,如下图:
网络分区可划分为三大类:业务区、隔离区、特定功能区。
业务区:用于承载各类系统应用服务器及数据库服务器,应用系统根据特定原则划分至不同业务区。
隔离区:也称DMZ区,承载各类前置机,面向互联网或第三方机构提供服务。
特定功能区:如管理区承载监控系统、流程系统、操作终端等,用于数据中心维护;广域网区用户数据中心至骨干网的连通。
传统架构优点:安全、稳定、可靠、可扩展。
架构缺点:灵活性不足、竖井壁垒存在、自动化不高、建设成本高昂。
2.金融数据中心网络面临的挑战
(一)面临的挑战
当前,“业务应用变革式创新发展”、“以云计算为代表的新技术应用”以及“金融IT成本与效率优化新要求”是金融数据中心网络发展面临的三大挑战。
首先业务应用发展对网络服务提出新的挑战,面向互联网方式的金融创新应用快速发展对网络服务提出更敏捷的服务要求,网络资源的开通与变更希望是从原本的周为单位提升到分钟级别,从而支撑应用快速投产。
其次,云计算等新技术在数据中心内越发应用广泛,其对网络连接也提出新的要求。为适应虚拟化技术,资源的漂移迁移能力,网络服务需要从物理机识别提升到虚拟主机识别,云的多租户特性要求在共享的物理网络设备下提供可独立解耦的网络地址路由空间,云弹性伸缩则要求网络有更高地弹性扩展能力,巨大的云平台规模,也要求云网络服务也必须具备足够的网络容量与健壮性。
再则,新常态下金融机构的运营压力要求IT架构可实现更高效与低成本,从纯商业“产品”解决方案向“自主”网络方案演进,金融数据中心网络技术应用更趋于开放,要求网络运维人员从单纯的人工维护解放出来,进入高效的自动化方式。
(二)未来金融数据中心网络应用需求
因此,结合上述发展的挑战与趋势,我们认为未来金融数据中心网络应用需求可总结为高敏捷、高弹性、高可管理、高可用以及高性能的“五高”要求:
高敏捷,实现业务快速上线,面对应用的变
最低0.47元/天 解锁文章
564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
